Escuela de Informática y Telecomunicaciones.

Analista Programador Computacional.

Alonso de Ovalle 1586, Santiago Centro.

(+56 2) 354 0600

Seguridad Lógica.

Asignatura: Modelamiento de Base de Datos.

Profesor: Héctor Schulz.

Por Manuel Burgos Zúñiga.

 DuocUC - Sede Padre Alonso de Ovalle
Escuela de Informática y Telecomunicaciones

ÍNDICE

INTRODUCCIÓN. ................................................................................................
................................ ............................................................ 3
SEGURIDAD LÓGICA. ................................................................................................
................................ ...................................................... 4
1.Conceptos Generales. ................................................................................................
................................ ............................................. 4
1.1.ID de usuario: ................................................................................................
................................ ................................................... 4
1.2.Autenticación: ................................................................................................
................................ .................................................. 5
2. Objetivos de la Seguridad Lógica. ................................................................
........................................................... 6
3.Evaluación de Vulnerabilidades. ................................................................
.............................................................. 7
4.Controles de Acceso. ................................................................................................
................................ ............................................... 8
5. Convergencia entre seguridad lógica y física. ................................................................
........................................ 10
5.1.Autenticación Biométrica. ..............................................................................................
.............................. 10
5.2.Token de Autenticación. ................................................................................................
................................. 10
CONCLUSIÓN. ..............................................................................................................................
................................ .............................. 11
BIBLIOGRAFÍA. .............................................................................................................................
................................ ............................. 12

2
Seguridad Lógica
 DuocUC - Sede Padre Alonso de Ovalle
Escuela de Informática y Telecomunicaciones

INTRODUCCIÓN.

Hoy en día, es común que al escuchar hablar de base de datos y seguridad lógica
inmediatamente lo relacionamos
relaciona con algo de carácter electrónico, o más específicamente
informático, en cuyo caso el almacenamiento de la información es electromagnético (en su gran
mayoría) y a la que podemos acceder a través de distintos "dispositivos inteligentes" y una serie
de comandos.

Por otro lado, la información es un activo que ha ido ganando un valor que va más allá del
dado únicamente por nuestro juicio, y ha adquirido un valor económico real y creciente. Esto nos
plantea una nueva perspectiva de abordarla, puesto que se ha convertido en un bien al que
debemos asignarle algún grado de seguridad según lo estimemos conveniente.

Sin embargo ya en el año 500 A.C. los griegos se hacían el planteamiento sobre qué valor
tenía la información y cómo debían resguardarla. Sin ir más lejos, desarrollaron un cilindro llamado
"scytale"" alrededor del cual enrollaban una tira de cuero. Al escribir un mensaje sobre el cuero y
desenrollarlo se veía una lista de letras sin sentido. El mensaje correcto sólo podía leerse al
enrollar el cuero nuevamente
mente en un cilindro de igual diámetro, tal vez uno de los primeros
vestigios de encriptación de información.

En el siglo XX, en la década de los 80,

80 donde las bases de la computación fueron enraizadas
y la informática de red se basaba prácticamente en la confianza, la información fluía
flu libre a través
de estos canales y sus protagonistas. No obstante era sólo cosa de tiempo para que esto cambiara.
Fue así como en 1986 Cliff Stoll Stoll, ayudante de administrador del centro de informática del
Lawrence Berkeley Laboratory,
Laboratory detecta una pequeña anomalíaa en un sistema contable. Se da
cuenta que alguien se ha introducido al sistema e incluso otros desde desde dicha red. Inicia un
seguimiento detallado do que se considerará el primer caso documentado de persecución
persecu de un
hacker. Son los inicios de la seguridad informática.

La seguridad lógica es un subconjunto de la seguridad informática, y se enfocará en

determinar qué información mostrar por medio de barreras lógicas, tener sistemas menos
propensoss a vulnerabilidades y filtración
filtración de datos. Una manera de protección eficaz, versátil y muy
discreta, cuyos precursores sentaban las bases hace más de 2000 años.

3
Seguridad Lógica
 DuocUC - Sede Padre Alonso de Ovalle
Escuela de Informática y Telecomunicaciones

SEGURIDAD LÓGICA
LÓGICA.

1.Conceptos Generales
enerales.

Entenderemos Seguridad Lógica como el nivel de seguridad informática que implica

mantener la integridad y consistencia de nuestra base de datos cuando se realice cualquier tipo de
operación n dentro del sistema. Se utilizarán para tales efectos softwares de seguridad,
seguridad que incluyan
la identificación de usuario y contraseña de acceso, los derechos de acceso
acceso y niveles de autoridad,
además de la convergencia entre seguridad física
f y lógica. Estas medidas garantizarán que sólo
s los
usuarios autorizados sean capaces de realizar acciones o acceder a la información en una red o
una estación de trabajo.

Este tipo de seguridad constará de 2 elementos claves: ID de usuario y autenticación.

ID Usuario

Seguridad
Lógica
Autenticación

1.1.ID de usuario::

La ID de usuario, también conocida como "inicio de sesión", "nombre nombre de usuario"

usuario o
"cuentas",, son identificadores únicos personales. Estos identificadores se basan en cadenas cortas
de caracteres alfanuméricos, y son asignados o elegidos por los mismos usuarios.
usuarios

Un ejemplo típico de ID de usuario es la cadena de caracteres previos al símbolo

sí de @ en
nuestra dirección de correo electrónico.
electrónico. En dicho caso esta ID de usuario pertenece a la cuenta
que nos proporciona el servicio de e-mail,
e , pero es escogida por nosotros. No N obstante, otro
servicio puede pedirnos que nnuestra ID sea nuestra dirección de correo electrónico completa, en

4
Seguridad Lógica
 DuocUC - Sede Padre Alonso de Ovalle
Escuela de Informática y Telecomunicaciones

cuyo caso no se almacenará como la dirección de nuestro correo electrónico sino que como un
extensa ID.

Ej.

minombre@gmail.com → "minombre" sería nuestra ID en Gmail.com

minombre@gm
nombre@gmail.com → "minombre@gmail.com" sería nuestra ID en
otra cuenta, como por ejemplo Facebook.

1.2.Autenticación
Autenticación:

La autenticación es el proceso utilizado por un programa, computadora o la red para tratar

de confirmar la identidad de un usuario. La confirmación de las identidades es esencial para el
concepto de control de acceso, puesto que autoriza o excluye a los no autorizados. Ésta
autenticación es por lo general mediante una contraseña.

La contraseña es un conjunto de caracteres alfanuméricos asignado o escogidos por el

propio usuario.

Para que el nivel de seguridad sea elevado, la contraseña para la autenticación

autenticaci de la ID de
usuario, debe seguir ciertas directrices para un óptimo resultado entre las que podemos nombrar:
nombrar

• La contraseña debe ser asignada a cada usuario de manera individual.

• La distribución de contraseñas debe ser manejada con la más estricta
confidencialidad.
encialidad.
• Deben modificarse en forma periódica.
• Contraseñas como apodos, y fechas de nacimiento no deben ser autorizadas.
• Nunca deben compartirse con otro usuario.
• Deben tener una longitud mínima de 5 dígitos.
• Las contraseñas deben estar almacenadas en u un
n computador con encriptación.
• La no visibilidad de la contraseña debe usarse en todos los terminales para la
evitar su exhibición.
• Debe existir un software que cumpla con el cambio de contraseñas previo apoyo
de identificación personal del usuario, dura
duración
ción mínima, formato.

5
Seguridad Lógica
 DuocUC - Sede Padre Alonso de Ovalle
Escuela de Informática y Telecomunicaciones

Contraseña fuerte
Debe ser
Apodos, fechas
asignada de Longitud mayor a Almacenamiento
de cumpleaños y
forma individual Modificar 5 caracteres y no encriptado y con
obviedades no
y confidencial, periódicamente visible en posibilidad de
deben ser
jamás terminal. cambio.
autorizadas
compartirse.

2. Objetivos de la Seguridad Lógica

Lógica.

Una empresa u organización deberá implementar necesariamente un manual de políticas

y procedimientos administrativos en el área de informática y seguridad de redes. Además deberá
implementar las políticas y procedimientos respecto de la responsabilidad
responsabilidad del usuario informático,
informá
detallando los mecanismos a los que deben estar sujetos para mantener la integridad de los
sistemas y la privacidad de los mismos, además de la privacidad entre usuarios y las consecuencias
institucionales y/o legales que pudiesen tener según
n la ley vigente en caso contrario.

Los objetivos a plantear por este tipo de seguridad serán:

• Restringir el acceso a los programas y archivos.

• Asegurar que los operadores puedan tra trabajar
bajar sin una supervisión minuciosa y no
puedan modificar los programas ni los archivos que no correspondan.
• Asegurar que se estén utilizados los datos, archivos y programas correctos en y
por el procedimiento correcto.
• Que la información transmitida sea rrecibida
ecibida sólo por el destinatario al cual ha sido
enviada y no a otro.
• Que la información recibida sea la misma que ha sido transmitida.
• Que existan sistemas alternativos secundarios de transmisión entre diferentes
puntos.

6
Seguridad Lógica
 DuocUC - Sede Padre Alonso de Ovalle
Escuela de Informática y Telecomunicaciones

• Que se disponga de pasos alternativos

alternativos de emergencia para la transmisión de
información.

Todo lo anterior sin embargo es inútil si antes de poner en práctica dichas barreras no
realizamos un procedimiento crítico en nuestro propósito: La Evaluación De Vulnerabilidades.

3.Evaluación de Vulnerabilidades
lnerabilidades.

El objetivo de una evaluación de la vulnerabilidad es examinar los sistemas de puntos

débiles que podrían ser usados, y determinar las probabilidades para que nadie pueda atacar a
alguno de esos puntos débiles.

Existen numerosos tipos de vulnerabilidades.

vulnerabilidades. Cada uno debe ser examinada y
documentada. El control de todos los riesgos asociados con el acceso a los sistemas es crítico, pues
una deficiente evaluación puede dar la posibilidad de manipular nuestra información y modificar o
filtrar los datos.

Existen muchas herramientas para la evaluación de vulnerabilidades. Una muy usada y

conocida es Internet Security Systems (ISS). El principal valor de esta herramienta radica en la
automatización y detección, es decir, normalmente la ISS se utiliza
utiliza para explorar los sistemas de
configuraciones y servicios, comparar los resultados con una base de datos de vulnerabilidades
conocidas, y elaborar un informe. Esto evita la laboriosa tarea de examinar los sistemas de forma
manual e investigar las últimas
últimas hazañas. También proporciona un método fácil de obtener datos
consistentes sobre las vulnerabilidades del sistema.

Seguridad Lógica

Evaluación de
Vulnerabilidades

Flujo de Información
Identificación Tipo de ID usuario +
de Acuerdo a Perfil de
Usuario Autenticación
Usuario

Una vez que una lista de vulnerabilidades por sistema se compila, cada punto vulnerable
deben clasificarse según la probabilidad de que podría ser explotada. Esta probabilidad es la
amenaza asociada a la vulnerabilidad, y métodos para la determinación de eeste nivel de amenaza

7
Seguridad Lógica
 DuocUC - Sede Padre Alonso de Ovalle
Escuela de Informática y Telecomunicaciones

es probable. Pueden ser tan complicado como completar un análisis de árbol, que documenta las
distintas series de condiciones que podrían conducir a la explotación de una vulnerabilidad, o un
simple como confiar en los informes
in sobre laa frecuencia de las hazañas en la naturaleza.

La combinación de vulnerabilidades y amenazas proporciona una medida de exposiciones

riesgosas de datos, y la probabilidad de que un atacante motivado podría explotarlos. Este es el
nivel de riesgo inherente, o el riesgo que existe en la ausencia de medidas de control.

4.Controles de Acceso..

Los controles de acceso pueden implementarse en el sistemas operativo,

perativo, aplicaci
aplicaciones,
bases de datos, un paquete específico de seguridad o en cualquier otro utilitario. Una vez
establecidos los controles de acceso sobre los sistemas y la aplicación, es necesario realizar una
eficiente administración de estas medidas de seguridad lógica, lo que involucra la implementación,
seguimientos, pruebas y modificaciones sobre los acceaccesos
sos de los usuarios de los sistemas. La
política de seguridad que se desarrolle respecto a la seguridad lógica debe guiar a las decisiones
referidas a la determinación de los controles de accesos y especificando las consideraciones
necesarias para el establecimiento
lecimiento de perfiles de usuarios.

La definición de los permisos d

de acceso requiere determinar cuáll será el nivel de seguridad
necesario sobre los datos, por lo que es imprescindible clasificar la información, determinando el
riesgo que produciría una eventual
eventual exposición de la misma a usuarios no autorizados. Así los
diversos niveles de la información requerirán diferentes medidas y niveles de seguridad.

Para empezar la implementación, es conveniente comenzar definiendo las medidas de

seguridad sobre la información
formación más sensible o las aplicaciones más críticas, y avanzar de acuerdo a
un orden de prioridad descendiente, establecido alrededor de las aplicaciones. Una vez
clasificados los datos, deberán establecerse las medidas de seguridad para cada uno de los niveles.

Un programa específico para la administración de los usuarios informáticos desarrollado

sobre la base de las consideraciones expuestas, puede constituir un compromiso vacío, si no existe
una conciencia de la seguridad organizacional por parte de todos los empleados. Esta conciencia
de la seguridad puede alcanzarse mediante el ejemplo del personal directivo en el cumplimiento
de las políticas y el establecimiento de compromisos firmados por el personal, donde se
especifique la responsabilidad de cada
ca uno.

Pero además de este compromiso debe existir una concientización por parte de la
administración hacia el personal en donde se remarque la importancia de la información y las
consecuencias posibles de su pérdida o apropiación de la misma por agentes extraños a la
organización.

8
Seguridad Lógica
 DuocUC - Sede Padre Alonso de Ovalle
Escuela de Informática y Telecomunicaciones

Los controles de acceso constituyen

constituyen una importante ayuda para proteger al sistema
operativo de la red, al sistema de aplicación y demás software de la utilización o modificaciones no
autorizadas; todo esto para mantener la integridad
integ de la información (restringiendo la cantidad
de usuarios y procesos con acceso permitido) y para resguardar la información
confidencial de accesos no autorizados.

CONTROLES DE
ACCESO

MODIFICACIONES IMPLEMENTACIÓN

PRUEBAS SEGUIMIENTO

Al respecto, el National Institute for Standars and Technology (NIST) ha resumido los
estándares de seguridad que se refieren a los requisitos mínimos de seguridad en cualquier
sistema entre los que podemos destacar
destacar:

• Identificación y Autentificación. Acceso por medio de ID de usuario y contraseña.

• Roles. El acceso a la información también puede controlarse a través de la función
o rol del usuario que requiere dicho acceso. Algunos ejemplos de roles serían los
siguientes: programador, líder de proyecto, gerente de un área usuaria,
administrador del sistema, etc. En este caso los derechos de acceso pueden
agruparse de acuerdo con el rol de los usuarios.
• Transacciones. Puede implementarse controles a través de las transacciones, por
ejemplo solicitando una clave al requerir el procesamiento de una transacción
determinada.
• Limitaciones a los Servicios.
Ser Estos controles se refieren a las restricciones que
dependen de parámetros propios de la utilización de la aplicación o
preestablecidos por el administrador del sistema.
• Acceso Donde podemos diferenciar el tipo de manejo sobre la
Modalidad de Acceso.
información n a la que tiene el acceso el usuario como sólo lectura, escritura,
ejecución,
n, borrado o todas las anteriores.
• Horario Acceso restringido a determinados días, horas o según la
Ubicación y Horario.
ubicación geográfica de usuario.

9
Seguridad Lógica
 DuocUC - Sede Padre Alonso de Ovalle
Escuela de Informática y Telecomunicaciones

5. Convergencia entre seguridad

seguri lógica y física.

La convergencia entre la seguridad física y lógica es algo inevitable para tener estándares
de alta efectividad en el resguardo de nuestra información. El proceso de autenticación ya no sólo
responde a una cadena de caracteres alfanuméricos, sino que también ya existe desde hace un
tiempo la autenticación biométrica
biométrica, token de autenticación.

5.1.Autenticación
Autenticación Biométrica.

La autenticación biométrica consiste en la medición del comportamiento o características

fisiológicas del usuario a un intento de confirmar su identidad. Los aspectos fisiológicos que se
utilizan incluyen huellas dactilares, retinas e iris del ojo, los patrones de voz, patrones faciales y
medidas de la mano.

Otros comportamientos también se utilizan como el reconocimiento

econocimiento de la firma, el
reconocimiento de nuestra caminar, el reconocimiento de alguna emisión
emisi n sonora o escribiendo el
reconocimiento de patrones visuales. En el caso de las características
caracter fisiológicas
gicas son obtenidas y
procesadas por un algoritmo numérico.
nu Este número es ingresado en una base de datos y a las
características del usuario.

5.2.Token
Token de Autenticación
Autenticación.

El token de autenticación es un pequeño dispositivo que tienen los usuarios autorizados de

los sistemas informáticos o redes para ayudarles
ayudarles en el acceso a un ordenador o red del sistema de
acceso restringido.. También puede almacenar las claves criptográficas y los datos biométricos. El
tipo más popular de token de seguridad (RSA SecurID) muestra un número que cambia cada
minuto. Los usuariosios se autentican mediante la introducción de un número de identificación
personal. El token contiene un tiempo de reloj de día y un valor de inicialización única.

Otro tipo similar de token (tarjeta criptográfica) puede producir un valor cada vez que se
pulsa un botón. Otras fichas de seguridad se puede conectar directamente al ordenador a través
de USB, Smart card o puertos Bluetooth, o a través de interfaces de uso especial. Los teléfonos
celulares y PDAs 'también se puede utilizar como tokens de seguridad dad con la programación
adecuada.

10
Seguridad Lógica
 DuocUC - Sede Padre Alonso de Ovalle
Escuela de Informática y Telecomunicaciones

CONCLUSIÓN.

Ya a estas alturas, y frente a lo expuesto en este breve informe, podemos concluir lo

relevante y necesario que será para nuestro desarrollo profesional y el la seguridad de los datos en
nuestro entorno de trabajo.. La seguridad lógica se vislumbra como una fuente de inagotable
innovación y a la que nunca debemos dejar de auditar regularmente.

La exposición de nuestros datos o de cualquier información contenida necesita

inevitablemente de tres factores: un usuario
usuario que subvalora su información o la que está
manejando, un sistema con "agujeros" de seguridad que posibiliten la filtración o exposición
indeseada, y una persona atenta a detectar dichas falencias y hacer uso de información
privilegiada a la que normalmente
lmente no tendría acceso.

Es necesario además destacar que la omisión de algunos pasos críticos como la evaluación
de vulnerabilidades, o el incorrecto manejo de contraseñas puede derivar en constante pérdida o
robo de información clasificada o la inestabilidad
inestab de nuestro sistema.

Por otro lado, la convergencia actual que hay entre la seguridad lógica y física nos
recuerda que los avances en materia de seguridad parecieran no tener límites, y los hacen mucho
más robustos. Sin embargo, desde el momento en q que
ue el hombre denotó el valor de la
información, una lucha incesante se ha librado respecto a quién tiene derecho a acceder a ciert
cierta
información y en qué niveles.

Nuestra labor como profesionales estará centrada en tener la real noción de la

información que se nos hará entrega como persona de confianza, responder a estándares
internacionales de seguridad y estar totalmente actualizado sobre las nuevas tecnologías que
puedan integrar tanto seguridad física como lógica. Un desafío al cual están ya expuestos la gran
mayoría de los profesionales informáticos desde los comienzos y que demanda de gran atención y
exhaustivas pruebas y procedimientos periódicos a nuestros sistemas.

11
Seguridad Lógica
 DuocUC - Sede Padre Alonso de Ovalle
Escuela de Informática y Telecomunicaciones

BIBLIOGRAFÍA.

• University of Huston http://www.uh.edu

• Segu - Info http://www.segu-info.com.ar
http://www.segu
• Ezine Articles http://ezinearticles.com/
• Got Root http://g0tr00t.wordpress.com/
g0tr00t.wordpress.com/
• Wikipedia (english) http://en.wikipedia.org
• Alegsa http://www.alegsa.com.ar
http://www.alegsa.com.

12
Seguridad Lógica